You are currently viewing 2021年、Googleの脆弱性報奨プログラムは870万ドルを119人のセキュリティ研究者/Googleに配布しました。

2021年、Googleの脆弱性報奨プログラムは870万ドルを119人のセキュリティ研究者/Googleに配布しました。

バグバウンティスキームは、彼らが彼らの技術に対する攻撃に彼らの脆弱性をもたらすように、彼らのサービスのセキュリティバグを見つけて修復するために他の安全調査官と協力する会社の準備について多くを明らかにするかもしれません。

Google では、Android、Play、Chrome などのサービス向けに脆弱性リワード プログラム (VRP) を運用し、システムの安全性を向上させます。2021年、同社は研究者の報酬を200万ドルから870万ドルに増やしました。

最大の支払いは、Androidの安全上の欠陥を暴露するための$157,000でした。ハイテク大手は、Androidバージョンの欠陥を開示する専門家に300万ドル近くのバグバウンティを支払いましたが、PixelのTitan-Mセーフティチップセットの問題に対する150万ドルのインセンティブはまだ収集されていません。

2021年には、bughunters.google.com に新しいバグハンターポータルのデビューも明らかにし、同社のすべてのVRP、すなわちグーグル、アンドロイド、虐待、クロム、Google Playと一緒にバグ報告をスピードアップします。さらに、調査官が能力を磨くのを助けるために特別に設計されたデータを提供します。

Chrome VRPは再び最前線にあり、3,288,000ドル、そのうち3.1ドルがブラウザの問題に向かい、250,500ドルがChrome OSに割り当てられました。Chrome OSの最高賞金は$45,000で、115人の専門家が全体で賞を受賞しました。

Androidはバグバウンティで2,935,244ドルで2位となり、前年の174万ドルから増加しました。記録上最大のAndroid VRP賞によると、「Androidで発見されたエクスプロイトチェーンは$157,000の賞金を受け取りました。

同社は、特定の他の主要なAndroidチップセットのメーカーと提携して運営しているAndroidチップセットセキュリティリワードプログラム(ACSRP)に代わって、さらに220の正当で特徴的な安全警告のために296,000ドルが付与されました。

さらに、60人以上の安全専門家がGoogle Playの脆弱性に対するバグ報酬の支払いで55万ドルを受け取りました。

同社は、Google Kubernetes Engine(GKE)の重要なアクセス可能な要件の安全上の弱点に取り組む透明なKubernetesベースのキャプチャ・ザ・フラッグ・プログラム(kCTF)にVRPに代わって175,685ドルを授与しました。

逆に、GoogleのProject Zeroスタッフからの新鮮な情報は、2019年から2021年にかけて、同社のProject Zeroチームの障害調査官が、さまざまなサプライヤーからシステムの376のプライバシーの欠陥を発見し、開示したことを明らかにしました。

同社の調査によると、351件の欠陥が実際に取り上げられており、残りはサプライヤーが対処しない問題として特定されています。2019年から2021年にかけて、Project Zeroチームは96の問題を発見し、マイクロソフトのサービス、iOSに関する85件のバグ、Google製品に影響を与える60件のバグに関するすべての欠陥の26%を占めました。これらのプロバイダの中で、Googleは公然と調査された欠陥に最も反応が良かった。ハイテク大手は通常、バグを修正するのに44日かかり、アップルは69日、マイクロソフトは83日です。